Slo-Tech - Na spletu se je znašel paket ukradenih osebnih podatkov, ki jih je neznani heker pridobil z vdorom v rusko družabno omrežje VKontakte. Več kot 100 milijonov uporabniških podatkov ponuja heker, ki je odgovoren tudi za vdore v MySpace, Tumblr, LinkedIn in Fling. Za ruski komplet podatkov zahteva en bitcoin, kar je okrog 500 evrov, vseh ukradenih podatkov pa naj bi bilo 170 milijonov.

Vdor v VKontakte (ki se danes uradno imenujejo VK.com) je pomemben zaradi več faktorjev. To je največje rusko družabno omrežje, ki je zelo popularno tudi v Vzhodni Evropi in Centralni Aziji, in ima v Rusiji več uporabnikov kot Facebook, saj je po Alexi to tam najbolj obiskana stran. Skupaj z ostalimi...

Slo-Tech - Raziskovalci so ugotovili, da so Western Digitalovi zunanji diski iz družin My Passport in My Book, ki uporabljajo vgrajeno 256-bitno šifriranje AES, bistveno manj varni od pričakovanj. Diski imajo različne krmilnike in različno implementacijo šifriranja, vsem pa je skupno, da je napad nanje sorazmerno enostaven, s tem pa tudi prebiranje šifriranih podatkov. O izsledkih poročajo v 36-strani dolgem članku in predstavitvi.

Preverjali so zunanje diske, ki uporabljajo šest različnih USB-vmesnikov različnih proizvajalcev: JMicron, Symwave, Initio in PLX. Šifriranje poteka tako, da se uporabnikovo geslo z algoritmom SHA256 pretvori v ključni kriptografski ključ (KEK). Ta se potem uporabi za šifriranje ključa za šifriranje podatkov (DEK). V EEPROM-u oziroma na servisnem področju na...

Slo-Tech - Zaradi vdora za zdaj še neznane vrste in obsega je spletni velikan Ebay pozval vse svoje uporabnike, naj čim prej zamenjajo svoja gesla. Napadalci neposredne škode uporabnikom naj ne bi povzročili, a je za vsak primer priporočljiva zamenjava gesel.

Ebay sporoča, da so neznani napadalci uspeli pridobiti dostop do šifrirane podatkovne baze gesel. Najprej so dobili dostop do prijavnih podatkov nekaj Ebayjevih zaposlenih - podrobnosti še niso znane - ki so jih potem izkoristili za nadaljnji dostop do sistema. Ebay zatrjuje, da so finančni podatki, zlasti številne kreditnih kartic, shranjene na drugi lokaciji in niso bile predmet vdora. Prav tako za zdaj še niso zaznali nobenih zlonamernih transakcij, ki bi jih bilo moč povezati s tem vdorom.

Podrobnosti o vdoru še pričakujemo, je pa znano,...

Slo-Tech - Kickstarter je svojim uporabnikom prek elektronske pošte in na blogu sporočil, da so neznani napadalci vdrli v njihove strežnike in odnesli osebne podatke za zdaj neznanega števila uporabnikov. Do podatkov o številkah kreditnih kartic niso uspeli priti, poleg tega pa Kickstarter hrani le zadnje štiri cifre in datum veljavnosti.

Napadalci so odnesli uporabniška imena, elektronske naslove, poštne naslove, telefonske številke in gesla. Starejša gesla so hranili v obliki zgoščene vrednosti SHA-1 (salted, hashed), za novejše pa so uporabili algoritem bcrypt. To pomeni, da so gesla uporabnikov razmeroma varna. Kljub temu Kickstarter svetuje menjavo vseh gesel. Ob vsakem takem napadu se zastavi vprašanje, kako varna...

Sophos - Adobe je oktobra priznal vdor v svoje strežnike, ki naj bi mu odnesel izvorno kodo nekatere programske opreme in 2,9 milijona šifriranih gesel, uporabniških imen in elektronskih naslovov strank. Izkazalo se je, da je Adobe zelo podcenil resnost vdora. Sophos Security ugotavlja, da so nepridipravi uspeli ukrasti 153 milijonov kosov uporabniških podatkov, s čimer se vdor uvršča med največje v zgodovini.

Prve ocene so bile sicer 38 milijonov gesel, a je številka potem zrasla na 153 milijonov. Adobe vztraja pri oceni 38 milijonov in dodaja, da so napadalci dobili podatke z veliko zastarelih, neaktivnih in testnih računov, a to niti ni pomembno. Na internetu se je namreč znašla 10 GB velika datoteka, ki ima 153 milijonov vnosov.

V njej...

Slo-Tech - Adobe je sporočil, da so bili žrtve hekerskega napada, v katerem so napadalci odtujili osebne podatke treh milijonov uporabnikov in pridobili dele izvorne kode za številne Adobove izdelke.

Napadalci so dobili dostop do uporabniških imen in šifriranih gesel uporabnikov. Poleg tega so izmaknili še šifrirane številke plačilnih kartic z datumi veljavnosti in ostale informacije, ki se shranijo pri izvedbi plačila. Prizadetih je 2,9 milijona uporabnikov. Adobe sicer zatrjuje, da je bila vsebina šifrirana in da so možnosti za zlorabo minimalne.

Kljub temu bodo ponastavili gesla vseh prizadetih uporabnikov, ki bodo po elektronski pošti prejeli navodila za izbiro novega gesla. Priporočajo tudi menjavo gesel na drugih straneh, kjer so uporabljali isto geslo (škodljiva praksa reciklaže gesel). Komur so...

Slo-Tech - Naslednja velika žrtev hekerskih napadov so forumi Ubuntuja (Ubuntuforums.org), ki so zaradi nepooblaščenega dostopa nedostopni. Obiskovalce danes pričaka obvestilo, da so strani nedostopne zaradi vdora, ki so ga zaznali včeraj zvečer.

Kot lahko preberemo, je neznani napadalec z nadimkom Sput1nk_ uspel pridobiti nadzor nad stranjo. Poleg klasične spremembe strani (defacement) je uspel pridobiti vsa uporabniška imena, gesla in elektronske naslove uporabnikov. Gesla so bila sicer shranjena v zgoščeni obliki in ne kot golo besedilo (plain text), a vseeno vsem uporabnikom svetujejo pazljivost. Kdor uporablja isto geslo za forume Ubuntu in še katero drugo stran, naj brž zamenja geslo na ostalih...

Twitter - Twitter je včeraj zvečer objavil, da so bili v preteklem tednu žrtev hekerskih napadov, ki so jim odnesli "omejene osebne informacije" 250.000 uporabnikov. V tem tednu so odkrili nenavaden vzorec dostopa do njihovih storitev, za katerega se je po pregledu izkazalo, da gre za nepooblaščen dostop ozira vdor. Napad so takoj po odkritju uspeli preprečiti, a so hekerji v vmesnem času vseeno pridobili nekatere podatke.

Twitter ima 140 milijonov uporabnikov, od katerih jih je prizadetih 250.000. Napadalci so uspeli pridobiti uporabniška imena, elektronske naslove, žetone za sejo in šifrirana gesla. Zaradi tega je Twitter ponastavil gesla za vse prizadete uporabnike in jim preklical vse piškotke. Ti bodo na svoj elektronski naslov prejeli povezavo, kjer si bodo izbrali novo geslo in se ponovno prijavili. Stara gesla ne delujejo več. Kdor je...

ZDNet - V zadnjih dneh so bili hekerjev očitno nadpovprečno aktivni, saj se poročila o vdorih na spletne stran in odtujitvah uporabniških podatkov kar vrstijo. Po uspešnem napadu na Yahoo! Voices sta novi žrtvi Android Forums in Nvidia.

Phandroid je potrdil, da so neznanci napadalci kompromitirali njihove strani Android Forums, pri čemer so pridobili uporabniška imena, elektronske naslove, IP-naslove in zgoščene vrednosti (hashed) gesel. Forum je imel dober milijon članov, ogroženi pa so vsi. Administratorji so že zagotovili, da je bila ranljivost, ki so jo napadalci izkoristili (varnostna luknja v forumu vBulletin), zakrpana in da so uvedli še nekaj dodatnih varnostnih ukrepov za vsak primer. Verjamejo, da so napadalci v prvi vrsti želeli pridobiti čim več elektronskih naslovov, ki jih preprodajo...

BBC - V četrtek zvečer so v japonskem podjetju Sega, ki se ukvarja z razvojem videoiger in konzol zanje, odkrili vdor v sistem Sega Pass. Odtujili so bazo podatkov, v kateri so bili elektronski naslovi, rojstni podatki, imena in šifrirana gesla uporabnikov. Zaradi tega je Sega takoj izključila stran in začela preiskavo incidenta, naslednje jutro pa je uporabnikom poslala elektronska sporočila. V njih so jih obvestili o napadu in jim priporočili, da za vsak primer zamenjajo gesla na drugih stran, če so uporabili ista, medtem ko so jih v Sega Passu že ponastavili. Hujših posledic naj ne bi bilo, saj so bila gesla šifrirana, podatkov o finančnih transakcijah pa Sega ne hrani lastnih strežnikih.

Odgovornosti za napad ni prevzela še nobena...